Tecnologías de Información y e-

Business.
MBA Gerencial Internacional
Tiempo Completo PUCP – Ciclo V

Profesora: Lourdes Maritza Ortiz Sosa

Correo electrónico: lortizs@pucp.edu.pe
 De dónde venimos…
Sesión 1-2 (05-11-2018.
• Administración de la Empresa Digital. Sistemas de Conceptos,
Información en la Empresa Contexto
Sesión 3-4-(12-11-2018)
• Sistemas de Información y Estrategia Empresarial. Visión Estratégica.
Rediseño. Implementación de Sistemas de Información. Habilitación interna
Sesión 5-6 (19-11-2018)
• Introducción al e-Business y la Nueva Economía Impacto
Sesión 7-8 (26-11-2018) Estratégico.
• Marketing utilizando TI. B2C e-Commerce.
CRM/eCRM.Estrategia Digital. E-Business Security Consideraciones.
Sesión 9-10 (03-12-2018)
• Nuevas Tecnologías Empresariales. Sistemas expertos e
Inteligencia Artificial. Agentes Inteligentes. Big-Data. Tendencias.
Small Data. Análisis Predictivo. Internet de las cosas.
Seguridad en los Sistemas de Información
Hackers…

https://youtu.be/peaEQnhHszU
Actividad inicial
• Haga una breve lista de los datos que son importantes para
usted y están en su computador, Tablet o teléfono
• ¿Qué tan seguros están esos datos?
• ¿Cómo protege esos datos?
OBJETIVOS DE APRENDIZAJE
• Analizar por qué los sistemas de información necesitan protección
especial contra la destrucción, los errores y el abuso.
• Evaluar el valor del negocio en relación con la seguridad y el
control.
• Diseñar una estructura organizacional para la seguridad y el
control.
• Evaluar las herramientas y tecnologías más importantes para
salvaguardar los recursos de información.
Vulnerabilidad y abuso de los sistemas
Seguridad
Políticas, procedimientos y medidas
técnicas utilizadas para impedir el acceso
no autorizado, la alteración, el robo o el
daño físico a los sistemas de información
Controles
Métodos, políticas y procedimientos
organizacionales que garantizan::
La seguridad de los activos de la organización
La precisión y confiabilidad de sus registros
contables
El apego de las operaciones a las normas de la
administración
Por qué son vulnerables los sistemas
Los datos electrónicos son vulnerables a una
gran variedad de tipos de amenazas que
cuando existían en forma manual
Vulnerabilidad y abuso de los sistemas
• Redes
• La posibilidad de acceso no
autorizado, abuso o fraude no
se limita a una sola ubicación,
sino que puede ocurrir en
cualquier punto de acceso a la
red
• Existen vulnerabilidades en
cada capa y entre las capas
• Por ej.: error de usuario,
virus, hackers, radiación,
fallas del hardware o
software, robo
Vulnerabilidad y abuso de los sistemas
• Vulnerabilidades de Internet
• Redes públicas están abiertas a todo el
mundo
• El tamaño de Internet significa abusos
que pueden tener un impacto enorme
• Las direcciones IP fijas constituyen un
objetivo fijo para los hackers
• El servicio telefónico basado en
tecnología de Internet (VoIP) es más
vulnerable a la intercepción
• Correos electrónicos, mensajes
instantáneos son vulnerables a los
software maliciosos y la intercepción
Vulnerabilidad y abuso de los sistemas
• Retos de seguridad de los servicios
inalámbricos

• Muchas redes inalámbricas de los hogares y

públicos no están aseguradas mediante
encriptación por lo que no son seguros

• Las LANs que emplean estándar 802.11 estándar

pueden ser fácilmente penetradas

• Los identificadores de conjuntos de servicios

(SSIDs) identifican los puntos de acceso en
una red Wi-Fi se difunden múltiples veces

• WEP (Privacidad Equivalente Alámbrica): el

primer estándar de seguridad desarrollado por
Wi-Fi no es muy efectivo como punto de acceso y
todos los usuarios comparten la misma contraseña
Vulnerabilidad y abuso de los sistemas
• Software malicioso (malware)
• Virus de computadora Virus
• Programa de software
malintencionado que se adjunta a
otros programas o archivos de datos
• Gusanos:
• Programas independientes que se
copian a sí mismos en una red Amenazas

• Los virus y gusanos se están

esparciendo desde:
• Archivos de software descargado
• Archivos adjuntos de correo electrónico
• Mensajes comprometidos de correo
electrónico o mensajería instantánea Gusanos
• Discos o computadoras infectadas
Vulnerabilidad y abuso de los sistemas
• Caballo de Troya
• Programa de software que aparenta ser Virus
benigno pero que hace algo distinto a lo
esperado
• No se replica pero con frecuencia constituye
una manera para que los virus y otro código
malicioso sean introducidos en un sistema de
cómputo Registradores de
Gusanos
Claves
• Spyware
Amenazas
• Pequeños programas que se instalan a sí
mismos en las computadoras para vigilar las
actividades de navegación del usuario en la
Web y presentar publicidad
• Registradores de claves
• Registran cada tecleo ingresado en una Spyware
Caballo de
computadora Troya

• Roban números seriales o contraseñas

Vulnerabilidad y abuso de los sistemas
• Hacker
Virus
• Individuo que intenta obtener acceso no
autorizado a un sistema de cómputo
Sniffer Gusanos
• Cibervandalismo
• Alteración intencional, destrozo o incluso la
destrucción de un sitio Web o un sistema de
información corporativa
Caballo
Spoofing
de Troya
• Spoofing
Amenazas
• Distorsión, por ej.: utilizando direcciones
de correo falsas o redireccionando hacia
sitios Web falsos
• Sniffer: Cibervandalismo Spyware
• Programa de espionaje que vigila la
información que viaja a través de una red
Registradores de
Hacker
Claves
Vulnerabilidad y abuso de los sistemas
• Ataques de negación del servicio (DoS): Virus

• Inundación de red o de servidores Web con BotNet Gusanos

miles de solicitudes de servicios falsas para
que la red deje de funcionar
Ataque distribuido
Caballo
de negación de
• Ataque distribuido de negación del servicio
de Troya
servicio (DDoS)
• Utiliza cientos o incluso miles de
computadoras para inundar y agobiar la red Ataques de
desde numerosos puntos de lanzamiento Negación de Amenazas Spyware
servicio

• Botnet (red de robots)

• Colección de PCs “zombies” infectadas con
software malicioso sin el conocimiento de Sniffer
Registradores de
Claves
sus propietarios y utilizados para lanzar
Ddos o perpetrar otros crímenes
Spoofing Hacker

Cibervandalismo
Delito informático
• La computadora como objeto de delito
• Acceder a sistemas de cómputo sin autoridad
• Violar la confidencialidad de los datos protegidos
de las computadoras

• La computadora como instrumento para el delito

• Robo de secretos comerciales y copia sin
autorización de software o de propiedad
intelectual protegida por derechos de autor
• Uso de correo electrónico para amenazar o acosar

• Los tipos de delitos informáticos más

perjudiciales desde el punto de vista económico
• Los ataques DoS y virus
• El robo de servicios y la alteración de los sistemas
de cómputo
Delito informático
• Robo de identidad
• Usar fracciones de información personal
clave (número de identificación del seguro
social, números de licencia de conducir o
número de tarjeta de crédito) con el
propósito de hacerse pasar por alguien más.
• Phishing
• Establecimiento de sitios Web falsos o el
envío de mensajes de correo electrónico
semejantes a los de las empresas auténticas
para solicitar a los usuarios datos personales
confidenciales
• Evil twins
• Redes inalámbricas que fingen ofrecer
conexiones e intentan capturar contraseñas
o números de tarjeta de crédito
Delito informático
• Pharming
• Redirige a los usuarios a una página Web falsa,
aún cuando éstos ingresen la dirección correcta
de la página

• Fraude informático y Ley de abuso (1986)

• Esta ley hace ilegal el acceso a un sistema de
cómputo sin autorización

• Fraude del clic

• Ocurre cuando un individuo o un programa de
computadora hace clic de manera fraudulenta en
un anuncio en línea sin la intención de conocer
más sobre el anunciante o de realizar una compra

• Ciberterrorismo y ciberarmamento:
• Al menos veinte países están desarrollando
capacidades de ciberarmamento ofensivo y
defensivo
Delito informático
• Amenazas internas: empleados
• Los empleados de una empresa plantean
serios problemas de seguridad
• Acceso a información privilegiada –como los
códigos de seguridad y contraseñas
• Pueden dejar un pequeño rastro
• La falta de conocimiento de los usuarios:
principal causa individual de las brechas de
seguridad en las redes
• Contraseñas alteradas
• Ingeniería social
• Errores introducidos en los software por:
• Ingreso de datos erróneos, mal uso del
sistema
• Errores al programar, diseño de sistema
https://youtu.be/15eNnfBL42A
Delito informático
• Vulnerabilidad del software
• Errores de software son una amenaza
constante para los sistemas de información
• Cuestan 59,600 millones de dólares anuales
a la economía de Estados Unidos
• Dan al malware la oportunidad de superar
las defensas de los antivirus

• Parches
• Creados por los vendedores de software
para actualizar y arreglar las
vulnerabilidades
• Sin embargo, mantener parches en todos los
dispositivos de la empresa toma mucho
tiempo y es muy costoso
Valor del negocio en relación con la
seguridad y el control
• Protección de información personal y
corporativa confidencial
• Valor de los activos de información
• La brecha de seguridad de las grandes
empresas pierde aproximadamente 2.1 por
ciento de su valor del mercado
• Responsabilidad legal
• Administración de registros electrónicos (ERM)
• Políticas, procedimientos y herramientas para
manejar la conservación, destrucción y
almacenamiento de registros electrónicos

• Evidencia electrónica y cómputo forense

Cómputo Forense

https://youtu.be/12JQzzJIuv8
Tecnología y Herramientas para la
Seguridad. Prevención.
• Política de seguridad
• Enunciados que clasifican los riesgos de
seguridad, identifican los objetivos de
seguridad aceptables y determinan los
mecanismos para alcanzar los objetivos
• Política de uso aceptable (AUP)
• Define los usos aceptables de los recursos
de información y el equipo de cómputo de
la empresa
• Una buena AUP define los actos aceptables
e inaceptables para cada usuario y
especifica las consecuencias del
incumplimiento
• Políticas de autorización
• Determinan diferentes niveles de acceso a
los activos de información para los distintos
niveles de usuarios
Tecnología y Herramientas para la
Seguridad. Prevención.
• Sistemas de administración de autorizaciones
• Permiten a cada usuario acceder solamente a
aquellas partes de un sistema para las cuales
tiene autorización, con base en la información
establecida por un conjunto de reglas de
acceso
• Director de seguridad (CSO)
• Encabeza la seguridad corporativa en empresa
grandes
• Responsable de aplicar la política de seguridad de
la empresa
• Grupo de seguridad
• Instruye y capacita a los usuarios
• Mantiene a la administración al tanto de las
amenazas y fallas de seguridad
• Mantiene las herramientas elegidas para
implementar la seguridad
Tecnología y Herramientas para la
Seguridad. Continuidad.
• Aseguramiento de la continuidad del negocio
• Sistemas de cómputo tolerantes a fallas
• Aseguran 100 por ciento disponibilidad
• Utilizan hardware, software y componentes de
suministro de energía redundantes
• Críticos para procesar transacciones en línea
• Cómputo de alta disponibilidad
• Trata de minimizar los tiempos de caída
• Ayuda a las empresas a recuperarse rápidamente
de una caída del sistema
• Requiere de servidores de respaldo, distribución
del procesamiento entre múltiples servidores,
almacenamiento de alta capacidad y buenos planes
para la recuperación de desastres y para la
continuidad del negocio
• Computación orientada a la recuperación: diseño
de sistemas, capacidades, herramientas que ayudan a los
operadores a identificar las fuentes de fallas en los
sistemas y a corregir fácilmente sus errores
Tecnología y Herramientas para la
Seguridad. Planeación.
• Planeación para la recuperación de desastres
• Restauración de los servicios de cómputo y
comunicaciones después de un temblor o
inundación, etc.
• Pueden contratar compañías para la recuperación
de desastres
• Planeación para la continuidad del negocio
• Restauración de las operaciones de negocios
después de un desastre
• Identifica los procesos de negocios críticos y
determina los planes de acción para manejar las
funciones de misión crítica si se caen los sistemas
• Análisis de impacto en el negocio
• Identifica los sistemas más críticos para la
empresa y el impacto que tendría en el negocio
Tecnología y Herramientas para la
Seguridad. Planeación.
• Auditoría
• Auditoría MIS: examina el entorno de
seguridad general de la empresa así como
los controles que rigen los sistemas de
información individuales
• Auditoría de seguridad: revisan
tecnologías, procedimientos,
documentación, capacitación y personal
• Auditorías:
• Enlista y clasifica todas las debilidades
de control
• Calcula la probabilidad de que sucedan
• Evalúa el impacto financiero y
organizacional de cada amenaza
Tecnología y Herramientas para la
Seguridad. Controles.
• Control de acceso
• Políticas y procedimientos de que se
vale una empresa para prevenir el
acceso inapropiado a los sistemas por
parte de usuarios internos y externos
no autorizados
• Los usuarios deben de estar
autorizados y autenticados
• Autenticación:
• Por lo general establecidos por
sistemas de contraseñas
• Nuevas tecnologías de autenticación:
• Token
• Tarjeta inteligente
Tecnología y Herramientas para la
Seguridad. Controles.
• Firewalls:
• Combinación de hardware y
software que controla el flujo del
tráfico que entra y sale de una red
• Previene accesos no autorizados
• Tecnologías de rastreo
• Filtrado de paquetes
• Inspección completa del estado
• Traducción de Direcciones de Red
(NAT)
• Filtrado proxy de aplicación
Tecnología y Herramientas para la
Seguridad. Detección.
• Sistemas de detección de intrusiones:
• Herramientas de vigilancia de tiempo
completo en tiempo real
• Colocados en los puntos más
vulnerables de las redes corporativas
para detectar y disuadir continuamente
a los intrusos
• El software de escaneo busca patrones
indicativos de métodos conocidos de
ataques a las computadoras, como
contraseñas erróneas, eliminación o
modificación de archivos importantes y
envío de alertas de vandalismo o
errores de administración del sistema
Tecnología y Herramientas para la
Seguridad. Protección.
• Software antivirus y antispyware
• Software antivirus:
• Revisa sistemas de cómputo y
discos en busca de virus de
computadora
• Para seguir siendo efectivo, el
software antivirus debe
actualizarse continuamente
• Herramientas de software
antispyware:
• Los principales fabricantes de
software antivirus incluyen
protección contra spyware
• Herramientas de software
disponibles (Ad-Aware, Spybot)
Tecnología y Herramientas para la
Seguridad. Protección.
• Encriptación:
• Transforma texto o datos comunes en texto
cifrado, utilizando una clave de
encriptación
• El receptor tiene que desencriptar el
mensaje
• Dos métodos para encriptar el tráfico de
red:
• El protocolo de Capa de Protección Segura
(SSL) /Seguridad de la Capa de Transporte
(TLS)
• Establece una conexión segura entre
dos computadoras
• El protocolo de Transferencia de
Hipertexto Seguro (S-HTTP)
• Encripta mensajes individuales
Tecnología y Herramientas para la
Seguridad. Protección.
• Firma digital
• Encripta mensajes que sólo el emisor puede
crear con su clave privada
• Se emplea para verificar el origen y el
contenido de un mensaje
• Certificados digitales
• Archivos de datos utilizados para establecer
la identidad de usuarios y activos
electrónicos para la protección de las
transacciones en línea
• Recurre a un tercero confiable, conocido
como autoridad de certificación (CA), para
validar la identidad de un usuario
• Infraestructura de clave pública (PKI)
• Uso de la criptografía de clave pública que
funciona con una autoridad de certificación
RESUMEN
• La información es un activo fundamental para los negocios y es
vulnerable a diversas amenazas internas y externas a la
organización, por ello los sistemas de información deben contar con
protección especial contra destrucción, errores y abuso.
• Una estructura organizacional para la seguridad y el control debe
incluir aspectos de Prevención, Continuidad, Planeación, Controles,
Detección y Protección.
Tendencias
OBJETIVOS DE APRENDIZAJE
• Revisar algunas tendencias en el mundo de las Tecnologías de
Información y el Negocio Electrónico.
Tendencias.

https://youtu.be/_KDVOBzIQr0
Wolksvagen (Caso)

https://youtu.be/JTl8w6yAjds
RESUMEN
• El mundo de las Tecnologías de Información y el Negocio
Electrónico no tiene límites en la mente de visionarios.
 Hacia dónde vamos…
Sesión 1-2 (05-11-2018.
• Administración de la Empresa Digital. Sistemas de Conceptos,
Información en la Empresa Contexto
Sesión 3-4-(12-11-2018)
• Sistemas de Información y Estrategia Empresarial. Visión Estratégica.
Rediseño. Implementación de Sistemas de Información. Habilitación interna
Sesión 5-6 (19-11-2018)
• Introducción al e-Business y la Nueva Economía Impacto
Sesión 7-8 (26-11-2018) Estratégico.
• Marketing utilizando TI. B2C e-Commerce.
CRM/eCRM.Estrategia Digital. E-Business Security Consideraciones.
Sesión 9-10 (03-12-2018)
• Nuevas Tecnologías Empresariales. Sistemas expertos e
Inteligencia Artificial. Agentes Inteligentes. Big-Data. Tendencias.
Small Data. Análisis Predictivo. Internet de las cosas.
Muchas gracias por su
participación